Forscher knacken E-Mail-Verschlüsselung

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • E-Mail-Verschlüsselung ist einfach ein Riesendurcheinander, unzählige Möglichkeiten, verschiedene Clients, teils veraltete Protokolle und Krypto. Ich mag GnuPG ja für Sachen wie das Signieren von Programmen etc. Man sollte sich wohl einfach davon verabschieden, die E-Mail sicher machen zu wollen. Lieber baut man von Grund auf eine andere, leichtgewichtigere Technologie. Ohne die ganze Rückwärtskompatibilität, die bei der E-Mail teils notwendig ist.

    Die Veröffentlichung des Papers fand ich unglücklich. Alles etwas gehypt und man muss nicht auf Twitter einen Tag zuvor schreiben „Schwerwiegende Sicherheitslücke!!! GPG nicht mehr verwenden!!1! Enigmail ausschalten!!!11“ und dann sich beschweren, wenn sich GnuPG äußert. Wenn dann einfach sofort auf die Website verweisen mit den Details. Das vorherige Hypen und „Ich weiß was, was ihr nicht wisst“-Spielchen finde ich immet etwas unglücklich.

    Die Message des Papers ist wichtig und richtig. Manchmal stört mich nur dieser Hype und evlt. (?) Ego-Spielchen. :D

    Edit: Statement der GnuPG-Entwickler: https://lists.gnupg.org/pipermail/gnup…May/060334.html

    Einmal editiert, zuletzt von Crixus (14. Mai 2018 um 17:30)

  • ...Ob wohl Threema & Co tatsächlich von Efail profitieren können?

    Zitat


    Über eine Sicherheitslücke können Angreifer verschlüsselte E-Mails lesen. Signal, Threema und sogar Whatsapp sind gute Alternativen - nur bei Telegram ist Vorsicht angebracht.


    Aus: “Messenger wie Signal und Threema verschlüsseln sicher - Digital - Süddeutsche.de”
    http://www.sueddeutsche.de/digital/smartp…mails-1.3978888

    Einmal editiert, zuletzt von andyg (14. Mai 2018 um 21:13)


  • Die Veröffentlichung des Papers fand ich unglücklich. Alles etwas gehypt und man muss nicht auf Twitter einen Tag zuvor schreiben „Schwerwiegende Sicherheitslücke!!! GPG nicht mehr verwenden!!1! Enigmail ausschalten!!!11“ und dann sich beschweren, wenn sich GnuPG äußert. Wenn dann einfach sofort auf die Website verweisen mit den Details. Das vorherige Hypen und „Ich weiß was, was ihr nicht wisst“-Spielchen finde ich immet etwas unglücklich.

    Das Ziel war es, dass die Leute vor der Veröffentlichung ihre Plugins ausschalten und nicht zu zeigen wie geil man ist. Insofern völlig legitim. Es ist aber in der Tat dumm gelaufen. Die Überreaktion der PGP Leute war aber auch nicht besonders brillant. Verstehe auch nicht was dieser Kindergarten mit den Schuldzuweisungen immer soll. Man sollte sich lieber folgende Frage stellen: "Wie beseitigen wir das Problem und wie stellen wir sicher, dass es nicht wieder passiert?"

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

    Einmal editiert, zuletzt von f09fa681 (15. Mai 2018 um 22:26)

  • Angeblich ist durch eine Schwachstelle PGP und S/MIME angreifbar

    Reiner Populismus.

    Mit dieser "Sensationsmeldung" hat man mit hoher Wahrscheinlichkeit großen Schaden angerichtet und vollkommen unnötig Unsicherheit gestiftet. Womöglich ist das mit purer Absicht (womöglich sogar fremdfinanziert) geschehen. Und dieses "Problem" ist auch nicht neu. Es wurde bereits vor 17/18 Jahren entdeckt. Wer per E-Mail wirksam verschlüsselt kommunizieren möchte, der verwendet auch eine entsprechend sichere Kommunikationsinfrastruktur. Dass sich HTML-Code und wirksam sichere Verschlüsselung nicht unbedingt miteinander vereinbaren lassen, kann man sich zusammenreimen. Dasselbe gilt für nachladbaren Code jedweder Art (bspw. JavaScript). Dass es nach wie vor sichere (nicht angreifbare) E-Mail-Kommunikation gibt, hat man gar nicht erst erwähnt und stattdessen "PGP" ganz pauschal verteufelt. Allerdings: In Sachen "S/MIME" ist die öffentliche Kritik sicherlich gerechtfertigt.

    Beiträge, wie der, "Wegschmeißen und neu machen", des Herrn Jürgen Schmidt (Diplom-Physiker) und Chefredakteur von heise Security, sind in diesem Zusammenhang nicht zielführend. Vor allem nicht vor dem Hintergrund, dass der Herr "Diplom-Physiker" keine adäquate (bessere) Lösung parat hat.

    Zitat von BamBam

    Auf ans Werk, Herr Jürgen Schmidt (Diplom-Physiker), setzen Sie sich hin und machen Sie eine neue, sicherere und bessere Verschlüsselung! Worauf warten Sie noch?

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(


  • Mit dieser "Sensationsmeldung" hat man mit hoher Wahrscheinlichkeit großen Schaden angerichtet und vollkommen unnötig Unsicherheit gestiftet. Womöglich ist das mit purer Absicht (womöglich sogar fremdfinanziert) geschehen.

    Ich kann ja beim nächsten Mittagessen mal fragen was die Leute aus dem IT-Security Labor sich für geile, neue Karren von dem Geld geleistet haben. :geld: Sebastian Schinzel geht Gerüchten zufolge nicht mit weniger als drei Rolex am Arm ausm Haus. :tränenlachen:


    Und dieses "Problem" ist auch nicht neu. Es wurde bereits vor 17/18 Jahren entdeckt. Wer per E-Mail wirksam verschlüsselt kommunizieren möchte, der verwendet auch eine entsprechend sichere Kommunikationsinfrastruktur.

    Was für eine Infrastruktur soll das sein?


    Dass sich HTML-Code und wirksam sichere Verschlüsselung nicht unbedingt miteinander vereinbaren lassen, kann man sich zusammenreimen. Dasselbe gilt für nachladbaren Code jedweder Art (bspw. JavaScript). Dass es nach wie vor sichere (nicht angreifbare) E-Mail-Kommunikation gibt, hat man gar nicht erst erwähnt und stattdessen "PGP" ganz pauschal verteufelt.

    Das ist nur ein Bruchteil der genannten Backchannels aus dem Paper.


    Allerdings: In Sachen "S/MIME" ist die öffentliche Kritik sicherlich gerechtfertigt.

    Erst Populismus brüllen und dann selber zurückrudern.

    Komm, lies mal lieber den heutigen, sehr empfehlenswerten Golem-Artikel.


    Beiträge, wie der, "Wegschmeißen und neu machen", des Herrn Jürgen Schmidt (Diplom-Physiker) und Chefredakteur von heise Security, sind in diesem Zusammenhang nicht zielführend. Vor allem nicht vor dem Hintergrund, dass der Herr "Diplom-Physiker" keine adäquate (bessere) Lösung parat hat.

    Was soll der Unsinn? Die Lösung soll der sich jetzt ausm Arm schütteln oder wie? Zumal berichtet er lediglich darüber. Hypothetisch (hoffentlich): Atommüll ins Meer kippen ist auch scheiße, aber eine Lösung wie man den jetzt lagern soll kann ich auch nicht vorschlagen. Deswegen darf ich es ja trotzdem kritisieren.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Was für eine Infrastruktur soll das sein?

    Verwendung eines sicheren (nicht angreifbaren) E-Mail-Clienten, E-Mail (verschlüsselt) grundsätzlich nur als Reintext, kein HTML, keine Möglichkeit zur Nachladbarkeit von Code jedweder Art.

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

  • Und das fällt eben schon beim "nicht angreifbaren Mail-Client" zusammen, zumindest zum Zeitpunkt der Veröffentlichung, allerdings auch noch heute. Ich würde dir empfehlen solche Nachrichten mehr zu hinterfragen statt sie ungefragt in den Raum zu werfen und dazu noch völlig abstruse Verschwörungstheorien zu verbreiten.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Und das fällt eben schon beim "nicht angreifbaren Mail-Client" zusammen, zumindest zum Zeitpunkt der Veröffentlichung, allerdings auch noch heute.

    Und hier wage ich zu widersprechen. Über den Client Claws-Mail, z. B., war schon lange vor "EFAIL" bekannt, dass er weder HTML kann, noch dass er anfällig für (nachladbaren) Code jedweder Art wäre.

    Ich würde dir empfehlen solche Nachrichten mehr zu hinterfragen statt sie ungefragt in den Raum zu werfen und dazu noch völlig abstruse Verschwörungstheorien zu verbreiten.

    Frage dich doch bitte mal selber, wer wohl ein großes Interesse daran haben könnte die Verbreitung von verschlüsselter Kommunikation zu untergraben oder bestenfalls sogar einzudämmen. Was eignet sich da besser als ein riesengroßes Me­di­en­spek­ta­kel über die "Unzuverlässigkeit" von OpenPGP und S/MIME?

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

    Einmal editiert, zuletzt von BamBam (23. Mai 2018 um 15:00)

  • Nichts ist wirklich "sicher" im Internet. Man kann eben nur versuchen, mit einem _vernünftigen_ Zeit-Aufwand-Invest, seine Privatsphäre zu schützen. Meine Meinung.


  • Frage dich doch bitte mal selber, wer wohl ein großes Interesse daran haben könnte die Verbreitung von verschlüsselter Kommunikation zu untergraben oder bestenfalls sogar einzudämmen.

    Was eignet sich da besser als ein riesengroßes Me­di­en­spek­ta­kel über die "Unzuverlässigkeit" von OpenPGP und S/MIME?

    Mhh, dann ist es ja schon irgendwie blöd, dass auf sichere Alternativen hingewiesen wurde. Aber das ist nur ein Versuch, die Leute auf andere Plattformen zu bringen, welche vorher untergraben wurden und jetzt können die privaten Daten noch besser abgehört werden. In Wahrheit wurde die FH Münster längst von der NSA unterwandert. Das erklärt auch den Heartbleed-Bug, den Robin Seggelmann natürlich absichtlich in OpenSSL platziert hat. Moment mal, dieser ominöse Lennart Grahl taucht auch auf dem Efail-Paper auf und schreibt seine Arbeit auch bei diesem Prof. Tüxen, der Robin Seggelmann betreut hat? Das kann unmöglich ein Zufall sein! Hier wird wohl gerade WebRTC unter dem Vorwand, Data Channels zu verbessern, unterwandert. Wahnsinn, was für Intrigen sich hier offenbaren!

    Das Einzige was irgendwie nicht so recht zusammenpassen will, ist, dass besagte Person diese Verschwörung enthüllt. Aber ich bin mir sicher, auch dafür gibt es eine Erklärung. Chemtrails! Außerirdische, puderzuckersafttrinkende Nachkommen von Kreuzungen durch Menschen und Sonnenblumen, welche mit genmanipulierten Bienenzombies bestäubt wurden!

    Edit: Ich hab doch glatt vergessen, den Link zu meinem Beweis einzufügen. Nachgeholt!

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

    Einmal editiert, zuletzt von f09fa681 (23. Mai 2018 um 17:30)

  • Können wir uns bitte einfach darauf einigen, dass das einfach eine Sicherheitslücke ist/war, bei der ganz sicher ein paar Kommunikationsfehler beim Veröffentlichen entstanden sind und die Art und Weise Aufmerksamkeit zu erzeugen für die Sicherheitslücke (Website), was prinzipiell ja gut ist, etwas aus dem Ruder gelaufen ist? Insbesondere, wenn dann weitere Journalisten das ganze so stark vereinfacht "interpretieren", dass dann "PGP ist geknackt" heraus kommt und in dieser Form ("Mailverschlüsselung ist unsicher.") sogar Tagesschau-Eilnachricht wurde.
    Das ganze ist und bleibt eine Sicherheitslücke, die v.a. durch alte Protokolle ohne authentifizierte Verschlüsselung (die heutzutage Standard ist), entstanden ist und jetzt gefunden wurde – nicht mehr und nicht weniger. Man sollte hier also lieber eigentlich froh sein, dass sie entdeckt wurde.

    Und die Empfehlung PGP einfach auszuschalten dabei sicherlich nicht optimal ist, aber – vor dem Hintergrund, dass die Sicherheitslücke auch die Entschlüsselung alter Nachrichten erlaubt – durchaus nachvollziehbar ist? (Stell dir mal einen Whisleblower vor, dem jetzt bevor dieser das Update für den Mailclient bekommen hat, ein paar alte Mails entschlüsselt wurden.) Inzwischen hat die EFF übrigens auch ergänzt, dass es eine temporärer Workaround ist. Natürlich muss man PGP danach wieder aktivieren, wenn alles gefixt ist. (und man am Besten HTML-Mails deaktiviert hat).

    Ansonsten driftet dieser Thread hier ziemlich off-topic.

  • Das ganze ist und bleibt eine Sicherheitslücke, ..., entstanden ist und jetzt gefunden wurde – nicht mehr und nicht weniger.

    Falsch! Erkannt wurde das Problem schon im Jahr 2000/2001.
    OpenPGP ist nach wie vor sicher, sofern man es richtig implementiert und richtig nutzt.
    Nicht zu vergessen die nicht verwundbaren Clients.

    Attacks on PGP clients:

    Attacks on S/MIME clients:

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(